In de dagelijkse werkpraktijk wissel je met heel veel verschillende partijen persoonsgegevens uit. Denk hierbij aan leveranciers, softwareaanbieders en trainingspartijen. Maar voor dat je de persoonsgegevens gaat uitwisselen of overdragen, wil je wel wat meer weten over hoe de andere partij omgaat met persoonsgegevens. Om je daarbij te helpen, hebben wij dit AVG Self-assessment ontwikkeld.
Wat is het doel van dit assessment?
Dit assessment heeft een aantal verschillende doelen. Het eerste doel is, zoals al hierboven vermeld, om een beter beeld te krijgen van de risico’s die kleven aan de verwerking door de externe partijen. Een ander doel is om meer input te krijgen voor de beoordeling van de eventuele (verwerkers)overeenkomst die hierbij hoort, zodat je kunt bepalen of de (verwerkers)overeenkomst passend en afdoende is. Het laatste doel van dit assessment is om meer input te krijgen voor het verrichten van een (pre-)DPIA, of om te beslissen of een (pre-)DPIA überhaupt noodzakelijk is.
Hoe moet je dit assessment gebruiken?
Dit is een assessment dat onze klanten kunnen aanbieden hun leveranciers. Uiteraard niet aan elke leverancier, maar wel de leveranciers waaraan persoonsgegevens worden verstrekt en waarvan men tóch iets meer wilt weten over de privacymanagement bij de leverancier. De leverancier vult het assessment zelf dan in. Hiermee bespaar je jezelf veel uitzoekwerk. Dit assessment kan worden aangeboden in de precontractuele/aanbestedingsfase. Dus: voor dat de (verwerkers)overeenkomst met de leverancier wordt afgesloten.
Het feit dat een externe partij (zeer) beperkte informatie verstrekt, zou mogelijk een teken kunnen zijn van het feit dat deze partij niet volledig zelf de risico’s in kaart heeft en daardoor (mogelijk) ook geen afdoende technische en organisatorische maatregelen heeft gekomen of kan nemen.
